Viele machen ihre Passwörter immer noch zu einfach. Shutterstock / Vitalii Vodolazskyi

Seit mehr als 15 Jahren gibt es verschiedene Vorhersagen von Technologieführern über den Tod von Passwörtern. Bill Gates sagte es voraus zurück in 2004 und Microsoft haben sagte es für 2021 voraus. Dazwischen gab es zahlreiche ähnliche Proklamationen sowie die anhaltende Kritik an Passwörtern als unzureichendem Schutzmittel.

Passwörter bleiben jedoch ein allgemeiner Aspekt der Cybersicherheit, den Menschen jeden Tag verwenden. Darüber hinaus weisen Passwörter noch kaum Anzeichen eines Verschwindens auf. Aber viele Leute benutze sie immer noch schlecht und scheinen sich der empfohlenen guten Praxis nicht bewusst zu sein.

Es ist sehr häufig für Cybersicherheitsexperten und Unternehmen, um Benutzer zu beschuldigen für die schlechte Verwendung von Passwörtern, ohne zu erkennen, dass Systeme ihre schlechten Entscheidungen zulassen.

Viele Websites bieten keine Vorab-Anleitung zur Auswahl der Passwörter, die wir benötigen, möglicherweise unter der Annahme, dass wir diese Dinge bereits kennen oder sie an anderer Stelle herausfinden können. Aber die Tatsache, dass die Menschen bestehen bleiben bei der Verwendung schwacher Passwörter legt nahe, dass dies eine optimistische Ansicht ist.

Veraltete Beratung

Neben fehlenden Anleitungen finden Sie häufig Websites, auf denen veraltete Kennwortanforderungen gelten. Sie sind wahrscheinlich mit Systemen vertraut, die auf der Komplexität von Passwörtern bestehen, indem Sie Großbuchstaben, Zahlen oder Sonderzeichen benötigen, um Passwörter stärker zu machen (unsere Antwort spiegelt häufig das folgende Video wider).

Aber, die aktuelle Anleitung ist es, Komplexität zuzulassen, aber nicht zu erfordern, und die Passwortstärke grundsätzlich als Synonym für die Passwortlänge zu betrachten.

Das Nationales Cybersicherheitszentrum empfiehlt, ein langes Passwort zu erstellen, indem drei zufällige Wörter kombiniert werden, um etwas zu ermöglichen, das länger und einprägsamer ist als viele Standardoptionen.

Mein Passwort versucht

Nicht hilfreich ist auch, dass viele Websites nicht zu Beginn Anleitungen und Anforderungen geben, sondern nur Regeln offenlegen, wenn wir Dinge ausprobieren, die nicht erlaubt sind. Ich habe versucht, ein Passwort für eine solche Site zu erstellen. Die meisten meiner Versuche erhielten Rückmeldungen, die weitere Maßnahmen erforderten, bis ich mich für eine endgültige Entscheidung entschied, die ohne Beschwerde angenommen wurde. Aber das Passwort, das akzeptiert wurde, Steve!, War kurz und ziemlich vorhersehbar.

Mit Regeln ringen. Steven Furell, Autor zur Verfügung gestellt

Wenn ich ein bisschen mehr herumspielte, wurden verschiedene andere schwache Entscheidungen akzeptiert. Zum Beispiel 1234a!, Abcde1 und qwert! Alle haben die Regeln erfüllt, ebenso wie Furnell1 - was nicht besonders stark ist, zumal ich Furnell bereits an anderer Stelle im Anmeldeformular als meinen Nachnamen eingegeben habe.

In der Zwischenzeit bedeuten die Regeln oft, dass wir keine Passwörter verwenden können, die unsere Geräte automatisch für uns generieren, oder solche, die wir möglicherweise selbst erstellen, indem wir den aktuellen Richtlinien folgen.

Viele Websites erlauben keine generierten Passwörter. Steven Furell

Einige Websites scheinen zu glauben, dass sie einen Mangel an Anleitung ausgleichen können, indem sie Techniken wie Passwortmesser verwenden, um unsere Auswahl zu bewerten. Diese geben zwar Feedback, sind jedoch kein Ersatz für eine Anleitung, wie gut es aussieht.

Auf einer anderen Website habe ich ein schlechtes Passwort eingegeben (das Wort Passwort). Das einzige Feedback, das ich erhalten habe, war, dass das Passwort sehr schwach ist. Wenn ein Benutzer dieses Passwort wirklich als Versuch angeboten hat, muss ihm mitgeteilt werden, warum es schwach ist. Während Sie zweifellos einige Websites finden können, die ein besseres und informativeres Feedback geben, ist dieses Beispiel leider repräsentativ für viele andere.

Regeln zu befolgen

Nachdem wir den Mangel an wirksamen Leitlinien hervorgehoben haben, wäre es natürlich nicht angebracht, zu enden, ohne tatsächlich einige anzubieten. Die Anleitung der NCSC Informationen zur Auswahl und Verwendung von Passwörtern werden nachfolgend aufgeführt und kurz erläutert:

1. Verwenden Sie ein sicheres und separates Passwort für Ihre E-Mail, da dies häufig Ihr Weg zum Zugriff auf andere Konten ist.
2. Erstellen Sie sichere Passwörter mit drei zufälligen Wörtern - dies gibt Ihnen stärkere und einprägsamere Passwörter.
3. Speichern Sie Ihre Passwörter in Ihrem Browser - dies verhindert, dass Sie sie vergessen oder verlieren.
4. Aktivieren Sie die Zwei-Faktor-Authentifizierung - dies bietet einen zusätzlichen Schutz, selbst wenn Ihr Kennwort gefährdet ist.

Es ist nützlich, dies durch zusätzliche Erinnerungen zu ergänzen, dies nicht zu tun Verwenden Sie das gleiche Passwort über mehrere Konten hinweg aus Angst, dass ein Verstoß gegen einen zu einem Verstoß gegen alle führt, sie nicht mit anderen Personen zu teilen, da es dann nicht mehr Ihr Passwort ist, und keine auffindbaren Aufzeichnungen über sie zu führen. Das Speichern an einem geschützten Ort, z. B. einem Passwort-Manager, ist in Ordnung.

Es ist besorgniserregend zu glauben, dass es Passwörter seit Jahrzehnten gibt und wir immer noch falsch verstehen. Und sie sind nur ein Aspekt der Cybersicherheit, den wir richtig nutzen müssen. Dies ist kein gutes Zeichen für die Cybersicherheit im weiteren Sinne.

Über den Autor

Steven Furell, Professor für Cybersicherheit, University of Nottingham

Bücher_Sicherheit

Dieser Artikel wird erneut veröffentlicht Das Gespräch unter einer Creative Commons-Lizenz. Lies das Original Artikel.